Microsoft heeft de release van de CBL-Mariner 1.0-distributie (Common Base Linux Mariner) gepubliceerd, die wordt gemarkeerd als de eerste stabiele release van het project. De CBL-Mariner-distributie wordt ontwikkeld als universeel basisplatform voor Linux-omgevingen die worden gebruikt in cloudinfrastructuur, edge-systemen en verschillende Microsoft-services. Het project is gericht op het verenigen van Microsoft Linux-oplossingen en het vereenvoudigen van het onderhoud van Linux-systemen voor verschillende doeleinden. De ontwikkelingen van het project worden gedistribueerd onder de MIT-licentie.
De distributie biedt een kleine standaardset basispakketten die dienen als universele basis voor het creëren van de inhoud van containers, hostomgevingen en services die draaien in cloudinfrastructuren en op edge-apparaten. Complexere en gespecialiseerde oplossingen kunnen worden gecreëerd door extra pakketten toe te voegen bovenop CBL-Mariner, maar de basis voor al dergelijke systemen blijft hetzelfde, waardoor onderhoud en updates eenvoudiger worden.
CBL-Mariner wordt bijvoorbeeld gebruikt als basis voor de WSLg-minidistributie, die grafische stapelcomponenten biedt voor het uitvoeren van Linux GUI-applicaties in omgevingen die zijn gebaseerd op het WSL2-subsysteem (Windows Subsystem for Linux). De kern van deze distributie is ongewijzigd en uitgebreide functionaliteit wordt gerealiseerd door de toevoeging van aanvullende pakketten met de samengestelde server Weston, XWayland, PulseAudio en FreeRDP.
Met het CBL-Mariner-buildsysteem kunt u zowel individuele RPM-pakketten genereren op basis van SPEC-bestanden en broncode, als monolithische systeemimages die zijn gegenereerd met behulp van de rpm-ostree-toolkit en atomair worden bijgewerkt zonder deze in afzonderlijke pakketten op te splitsen. Dienovereenkomstig worden twee modellen voor het leveren van updates ondersteund: door het bijwerken van individuele pakketten en door het opnieuw opbouwen en bijwerken van het volledige systeemimage. De distributie bevat alleen de meest noodzakelijke componenten en is geoptimaliseerd voor minimaal geheugen- en schijfruimteverbruik, evenals een hoge laadsnelheid. De distributie valt ook op door de toevoeging van verschillende aanvullende mechanismen om de veiligheid te verbeteren.
Het project hanteert een ‘maximale beveiliging standaard’-benadering. Het is mogelijk om systeemaanroepen te filteren met behulp van het seccomp-mechanisme, schijfpartities te coderen en pakketten te verifiëren met behulp van een digitale handtekening. In de bouwfase is de bescherming tegen stackoverflows, bufferoverflows en problemen met de opmaak van tekenreeksen standaard ingeschakeld (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro). Randomisatiemodi voor adresruimten die in de Linux-kernel worden ondersteund, zijn geactiveerd, evenals beschermingsmechanismen tegen symlink-aanvallen, mmap, /dev/mem en /dev/kmem. De geheugengebieden die segmenten met kernel- en modulegegevens bevatten, zijn ingesteld op alleen-lezen-modus en het uitvoeren van code is verboden. Een optionele optie is het uitschakelen van het laden van kernelmodules na systeeminitialisatie. De iptables toolkit wordt gebruikt om netwerkpakketten te filteren.
Er worden geen vooraf gemaakte ISO-images meegeleverd. Er wordt van uitgegaan dat de gebruiker zelf een afbeelding met de benodigde vulling kan maken (voor Ubuntu 18.04 zijn montage-instructies meegeleverd). Er is een opslagplaats met vooraf gebouwde RPM-pakketten beschikbaar, die u kunt gebruiken om uw eigen images te bouwen op basis van het configuratiebestand. De repository biedt ongeveer 3300 pakketten. Om bijvoorbeeld een volledige ISO-image te bouwen, voer je gewoon het volgende uit: git clone https://github.com/microsoft/CBL-Mariner.git cd CBL-Mariner/toolkit sudo make iso REBUILD_TOOLS=y REBUILD_PACKAGES=n CONFIG_FILE=./imageconfigs /full .json
De systeembeheerder systemd wordt gebruikt om services te beheren en op te starten. Voor pakketbeheer zijn pakketbeheerders RPM en DNF (tdnf-variant van vmWare) beschikbaar. De SSH-server wordt niet stil ingeschakeld. Om de distributie te installeren, wordt een installatieprogramma meegeleverd dat zowel in tekst- als grafische modus kan werken. Het installatieprogramma biedt de mogelijkheid om te installeren met een volledige of basisset pakketten, en biedt een interface voor het selecteren van een schijfpartitie, het selecteren van een hostnaam en het aanmaken van gebruikers.
Bron: opennet.ru